Корпорація рішень

Вимоги до захисту та обробки баз персональних даних

18.01.2012

Мін‘юст затвердив порядок обробки баз персональних даних. Відповідний наказ підписав міністр юстиції Олександр Лавринович. Порядок встановлює загальні вимоги до захисту персональних даних під час їх обробки володільцями та розпорядниками баз. При цьому передбачається, що обробка персональних даних може здійснюватися як в автоматизованій системі, так і у формі картотек.

Автоматизована система баз персональних даних

Якщо володілець бази персональних даних обробляє їх в автоматизованій системі, він зобов’язаний забезпечити захист системи від несанкціонованого доступу, а також антивірусний захист. Працівники володільця бази можуть допускатися до обробки персональних даних лише після відповідної авторизації (отримання дозволу на проведення дій з обробки персональних даних). Доступ осіб, які не пройшли процедуру ідентифікації (розпізнавання користувача в системі), повинен блокуватись. Володільці баз персональних даних можуть також вести реєстрацію дій, що здійснювалися в базі.

Реєстраційні дані повинні захищатися від модифікації та знищення. Крім того, реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу, наприклад, у випадку перевірки.

База даних у формі картотек

У разі, якщо обробка персональних даних здійснюється у формі картотек, володілець бази зобов’язаний зберігати картотеки у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу. Двері у відповідні приміщення повинні бути обладнані замком або контролем доступу.

Терміни зберігання

Порядок обробки персональних даних визначає також способи збирання, терміни зберігання та знищення відповідних баз персональних даних.

Так, до отримання згоди від суб’єкта персональних даних на їх збір, володілець бази повинен поінформувати про мету обробки персональних даних.

При цьому, володілець бази персональних даних може зберігати такі дані не більше, ніж це передбачала мета. Після цього персональні дані мають бути знищені у спосіб, який виключає подальшу можливість поновлення таких персональних даних.

На володільця (розпорядника) бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

 

Читайте також: